本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文笔比较烂,这不重要,重要的是按自己思路整理出来的资料以后自己看起来快一些。文中如有不对的地方还请留言指正。
前置环境
JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机
动态启动调试
Android Killer 反编译 x.apk,取出 classes.dex Dalvik文件,记录包名和启动类名。
修改 AndroidManifest.xml 文件,在标签里添加属性 android:debuggable="true" 这一步越早修改越好,防止忘记改。
可以查看一下AndroidManifest.xml 他们的对应关系,加深理解。
用AndroidKiller 重新编译修改过的x_fix.apk。
adb install x_fix.apk 安装到手机
将 IDA 安装目录 dbgsrv 目录下的 android_server 文件拷入手机
adb push dbgsrv\android_server /data/data/android_server
接着执行
adb shell chmod 655 /data/data/android_server添加可执行权限
adb shell /data/data/android_server 将其运行起来
在实际环境中可能会遇到上图中的一些错误,图中也给出了解决方法。
需要额外说明的是,当
adb root 失败时,需要在手机中安装一下“超级adbd”打开应用选择启用超级adbd ,再执行
adb root 就可以了。
运行后可以看到 Listening on port #23946 … 字样就说明 server 运行成功了,并且已经打开了手机端的 23946 端口等待接收命令。
为了方便PC端IDA 连接调试手机,可以在本机做端口转发。另起一个cmd,输入:
adb forward tcp:23946 tcp:23946
将之前保存出的 classes.dex 托入 IDA。在IDA菜单中选择 【Debugger】-> 【Debugger Options…】添加以下选项
再点击 Set specific options,添加adb 路径及刚刚保存的包名和入口名,如图
【Debugger】-> 【Process Options…】的配置如图
接下来就可以按IDA上的启动键,启动手机端的APP进行调试了,如图
你可以在【View】->【open subviews】->【functions】调出函数列表,再配合Android killer 或 JEB 分析的代码位置进行下断调试了。
动态附加调试
正常流程
在手机端运行程序后,按上图的步骤直接附加就可以了。
如果出现 Bogus or irresponsive remote server 的错误提示
修改 SELinux安全策略限制
adb shell su -c setenforce 0
再重新运行 android_server 重新转发,再试。
反调试/解密函数运行前进行动态调试
很多程序加入了反调试机制,或者是伪dex文件在程序运行时解密真正的dex文件以壳的方式保护APP。针对此两种方法可采用在程序运行前挂起程序,再用IDA挂载,在关键位置下断,来破解类此防护。
举一个网上的例子。
下载 ori.apk 按之前的操作记录包名等,加入Debug属性,安装到手机
运行调试启动命令
adb shell am start –D –n loading.androidmanual/loading.androidmanual.BeginningActivity
这时程序会被挂起,等待调试器接入。
用IDA 载入,调试选项如下
加载时可记录一下该应用的pid 之后会用到,忘记记录也没关系,附加后在IDA 的输出log里可以找到pid的信息
运行
adb forward tcp:7788 jdwp:977 命令,转发要调试的进程到端口7788(随便写),
运行
jdb -connect com.sun.jdi.SocketAttach:hostname=localhost,port=7788 使用jdb 载入调试。
此时程序处于阻塞状态,没关系,返回IDA,在Modules窗口查找libdvm.so,双击进入Module: libdvm.so 窗口,查找_Z21dvmDexFileOpenPartialPKviPP6DvmDex 函数,双击定位过去,在函数头部下断。
因为要Load Dex 文件都要经过此函数就像 LoadLibrary同样的道理。
接下来点击IDA继续运行程序就会在此断点断下来。
R0 寄存器中的地址就是 Dex 的起始地址。点击旁边的回车图标跳转到相应的位置。在 View-PC 窗口中右键,选择Jump in a new hex window 可以更好的观察内存中的信息
这就是壳中释放出来的程序真正的dex文件了。根据Dex 文件结构,我们知道从起始位置偏移0x20字节是这个文件的大小,在这里也就是 0x0FAEB4。有了起始位置和文件大小就可以Dump了。我们直接写IDA 的脚本来dump。【file】->【Script Command…】。输入以下代码:
auto fp, dexAddress ,endAddr;
dexAddress = 0x54d4c41c; //起始地址
endAddr = 0x54E472D0; //结束地址=起始地址+文件大小
fp = fopen("d:\\dump.dex", "wb"); //打开文件
for (; dexAddress < endAddr; dexAddress++) //循环写入
fputc(Byte(dexAddress), fp);
fclose(fp);
Dex文件保存后就可以丢进JEB进行分析了……
如果是反调试机制,那么就从一开始加载的so文件入手进行分析。同样用IDA挂载起来
按照上面的步骤找到JNI_OnLoad函数并下断,F9运行起来后就可以跟踪分析了。
脱壳用例程序: 下载地址
调试过程中遇到问题可参考 http://blog.csdn.net/deathmemory/article/details/51480799